KİŞİSEL VERİLERİN KORUNMASI
İYİBİDER –
KİŞİSEL VERİLERİN KORUNMASI
GENEL AYDINLATMA METNİ
İYİLİKTE YARDIMLAŞMA, İRFANLA BİRLEŞME DERNEĞİ (İYİBİDER) sektördeki hassasiyetini kişisel verilerin güvenliği hususunda da göstermektedir. Bu bilinçle, her türlü mecradaki ziyaretçilerimize ait özel ve genel nitelikli kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kanun’a bağlı yürürlüğe koyulan ve koyulacak ikincil düzenlemelere (yönetmelik, tebliğ, genelge) ve bağlayıcı nitelikteki Kişisel Verileri Koruma Kurul’u tarafından alınmış ve alınacak kararlara uygun olarak işlenmesine, muhafaza edilmesine ve silinmesine büyük önem göstermekteyiz. Bu sorumluluğumuzun bilinci ile Kanun’da tanımlı şekli ile “Veri Sorumlusu” sıfatıyla, kişisel verilerinizi aşağıda izah edildiği surette ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemekteyiz.
1. VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
Erol Kaya Cad. No:257 Pendik/İstanbul adresinde mukim İYİBİDER- İYİLİKTE YARDIMLAŞMA, İRFANLA BİRLEŞME DERNEĞİ “Veri Sorumlusu ”dur.
2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
İYİBİDER, gerek kanuni yükümlülüklerini doğrudan yerine getirirken, gerekse bu yükümlülükler ve verilen hizmetlerin dolaylı olarak gerektirdiği durumlarda Kişisel verilerin işlenmesine ihtiyaç duymaktadır. Bu anlamda kişisel verileriniz;
İYİBİDER tarafından; kişisel verileriniz ilgili tüm ulusal ve uluslararası mevzuat ve bunlara dayalı olarak yayınlanmış olan ikincil düzenlemeler kapsamındaki yükümlülüklerin ifası amacı ile Kanun’da belirtilen sınırlar çerçevesinde hukuka, dürüstlük kurallarına uygun ve işbu amaçlarla her daim bağlantılı, sınırlı ve ölçülü şekilde işlenmektedir.
3. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verileriniz, yukarıda sayılan amaçlar dahilinde, Kanun’un 8. ve 9.maddesinde belirtilen şartlara uygun olarak mevzuatta izin verilen gerçek ve tüzel kişilere, gerektiğinde yetkili diğer kamu kurum ve kuruluşlarına, adli ve idari yargı mercilerine, kolluk kuvvetlerine, iş ilişkisi içerisinde olduğumuz kurum ve kuruluşlara, insani yardım faaliyetleri ile ilgili otoritelere ve ilgili bakanlıklara ve ortak faaliyet yürüttüğü aynı amaca sahip insani yardım derneklerine, dışarıdan hizmet alınan danışmanlık, teknoloji ve eğitim şirketlerine aktarılabilmektedir.
4. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
Kişisel verileriniz; İYİBİDER tarafından yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, e-posta, telefon, internet sitesi, muhtelif sözleşmeler, kâğıt ortamında tutulan formlar ve tutanaklar gibi vasıtalarla otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda toplanmaktadır.
İlgili Kişi Grubu
Alınan Kişisel veri
Bağışçı
Ad – Soyad, T.C. kimlik numarası, cinsiyet, doğum yılı, telefon numarası, e-posta, adres bilgileri, banka hesap bilgileri, log kayıtları
Gönüllü / Üye
Ad-Soyad, Kimlik-ehliyet-pasaport bilgileri, cinsiyet, telefon numarası, e-posta adresi, adres bilgileri, banka hesap bilgileri, medeni durum, eğitim bilgisi, log kayıtları, vesikalık fotoğraf, adli sicil kaydı, acil durumlarda iletişime geçilmesi amacıyla irtibat kişisi bilgileri, sağlık bilgileri, sertifikalar, iş tecrübesi
İhtiyaç Sahibi
Ad-Soyad, Kimlik-pasaport bilgileri, cinsiyet, uyruk, ana-baba adı, doğum yılı, doğum yeri, medeni durum, eğitim bilgisi, imza, adli sicil kaydı, telefon numarası, e-posta adresi, vesikalık fotoğraf, adres bilgileri, banka hesap bilgileri, acil durumlarda iletişime geçilmesi amacıyla irtibat kişisi bilgileri, sizin ve bakmak yükümlü olunan kişiler hakkında ailenizin nüfus kayıt bilgileri, aile durumunuza ilişkin bilgiler, sağlık bilgileri, adli veya idari makamlardan gelen kaydı gereken evrak
Tedarikçi Kurum Temsilcisi
Ad-Soyad, telefon numarası, e-posta adresi, adres bilgileri, vergi numarası, imza, banka bilgileri
Ziyaretçi
Ad-Soyad, T.C. kimlik numarası, telefon numarası, e-posta, adres bilgileri, giriş-çıkış bilgileri, güvenlik kayıtları
Bu kapsamda;
Tipindeki özel ve genel nitelikli kişisel veriler Kanun’un 5. maddesinin 2/a-c-ç-e-f bentleri ve 6. maddesinin 3. fıkrası uyarınca, temel hak ve özgürlüklerinize zarar vermemek kaydıyla ve İYİBİDER’nın meşru menfaatleri hukuki sebebine dayalı olarak işlenmektedir.
Yukarıda sayılanlar veri tipleri haricinde gönüllülerin dernek ve vakıf üyeliği, sivil toplum kuruluşlarına ilişkin üyelik bilgileri ve sosyal medya hesap bilgileri tipindeki genel ve özel nitelikteki kişisel verileriniz Kanun’un 5/1 ve 6/2 maddeleri kapsamında açık rızanız dâhilinde toplanacak ve işlenecektir. Bu anlamda tarafınızca imzalanan açık rıza metni, aydınlatma metninin ayrılmaz bir parçası olacaktır.
5. VERİ SAHİPLERİNİN KANUN KAPSAMINDAKİ HAKLARI
Dilediğiniz zaman İYİBİDER’e başvurarak kişisel verilerinizin;
- İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanıp kullanılmadığı öğrenebilir ve işlenmiş ise bu konuda bilgi isteyebilir,
- Kanun’a uygun olarak yurt içinde ve yurt dışında bilgilerinizin paylaşıldığı üçüncü kişileri öğrenebilir,
- Bilgilerinizin eksik ya da hatalı işlendiğini düşünüyorsanız düzeltilmesini isteyebilir,
- Kanunun 7. maddesinde öngörülen şartlar çerçevesinde bilgilerinizin silinmesini ya da yok edilmesini talep edebilir,
- Bilgilerinizin aktarıldığı üçüncü kişilere (c) ve (d) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteyebilir,
- Bilgilerinizin, otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir veya kanuna aykırı olarak kaydedildiğini veya kullanıldığını düşünüyorsanız ve bu sebeple zarara uğramışsanız zararın giderilmesini isteyebilirsiniz.
Bu amaçlarla yaptığınız başvurunun ek bir maliyet gerektirmesi durumunda, Kişisel Verileri Koruma Kurulu tarafından çıkarılan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile belirlenen ücreti ödemeniz söz konusu olacaktır.
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırılacaktır.
Kanun kapsamındaki haklarınızdan yararlanmak için başvurularınızı, Türkçe olmak kaydıyla yazılı olarak İYİBİDER’e iletebilir, detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını ziyaret edebilirsiniz.
Başvurularınızı;
1. iyibider.org adresinde bulunan formu doldurduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile “Erol Kaya Cad. No:257 Pendik/İstanbul” adresine iletilmesi,
2. iyibider.org adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imzanızla imzalandıktan sonra güvenli elektronik imzalı formun elektronik posta ile gönderilmesi yöntemlerinden biriyle yapabilirsiniz.
Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda noter tarafından tasdiklenmiş özel vekâletnamenizi ibraz etmeniz gerekecektir.
Başvurularınızda, ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular İYİBİDER tarafından reddedilecektir.
İYİBİDER’nın işbu aydınlatma metninde Kanun’dan, ikincil düzenlemelerden ve Kurul kararlarından doğan sebeplerle değişiklik yapma hakkı her zaman saklıdır. Aydınlatma metninde yapılacak değişiklikler ve güncel metin tarafınıza tebliğ edildiği tarih itibariyle derhal geçerlilik kazanacaktır.
İYİBİDER
İYİLİKTE YARDIMLAŞMA, İRFANLA BİRLEŞME DERNEĞİ
İYİBİDER – İYİLİKTE YARDIMLAŞMA, İRFANLA BİRLEŞME DERNEĞİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. GİRİŞ
İNSANİ YARDIMLAŞMA İRFANDA BİRLEŞME DERNEĞİNDE benimsenen üstün hizmet kalitesi, bireylerin haklarına saygı, şeffaflık ve dürüstlük ilkeleri çerçevesinde, KVKK ile öngörülen yeni düzenlemeler doğrultusunda İYİBİDER iç işleyişinin KVKK, ikincil düzenlemeler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair ilgili mevzuat kapsamında düzenlenmesi şirketimizin öncelikli konuları arasında yer almaktadır. Bu nedenle KVKK’nın getirdiği haklardan müşterilerimizi faydalandırmak ve Kanun’a uyum sürecini sağlamak için işbu Politika düzenlenerek yürürlüğe sokulmuştur.
2. AMAÇ VE KAPSAM
2.1. Politika ile KVKK’ya uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin İYİBİDER bünyesinde, İYİBİDER çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.
2.2. Politika ile öngörülen temel düzenlemeler doğrultusunda İYİBİDER işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.
2.3. Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVKK ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için İYİBİDER’in yükümlü olduğu hususları düzenlenmektedir. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile İYİBİDER’in kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. İYİBİDER’in tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.
2.4. Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, İYİBİDER içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.
3. TANIMLAR
3.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili kişinin bilgilendirildiğini ve aydınlatıldığını ispat yükü veri sorumlusu üzerinde olacağından ilgili kişinin açık rızasının ve bilgilendirme kayıtlarının saklanması ve korunması şirket iç prosedürlerine göre yapılacaktır.
3.2. Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. Kişisel verilerin KVKK kapsamını ve Açık Rıza’yı ihlal etmeyen çeşitli amaçlarla, ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için İYİBİDER içerisinde gerekli önlemler alınacaktır.
3.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. İYİBİDER’in üyelerinin, gönüllülerinin, bağışçılarının bireysel müşterilerinin, potansiyel müşterilerinin, çalışanlarının (aktif, işten ayrılmış, emekli olmuş vb), çalışan adaylarının, tedarikçi kurum temsilcilerinin, müşteri kurum temsilcilerinin, stajyerlerin ve stajyer adaylarının, iş ortaklarının, hissedarlarının, ziyaretçilerin, internet siteleri ziyaretçilerinin, iş başvurusu yapanların, ilişkide olunan diğer tüzel kişilerin gerçek kişi temsilcileri, üçüncü kişilerin ve diğer gerçek kişi paydaşlarının kişisel veri niteliğindeki verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında İYİBİDER tarafından ele alınacaktır.
3.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup T.C. kimlik numarası, ad-soyad, e-posta adresi, telefon numarası, adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir. İYİBİDER’in içinde bu veriler sınıflandırmaya tabi tutulmuş, her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işlenebileceği gibi hususlar düzenlenmiştir.
3.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
3.6. Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
3.7. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. Kişisel verilere erişim yetkisi olan ve bu verileri KVKK anlamında işleyen personelin kimler olduğu, bu personelin verilere hangi ölçüde, hangi amaçla, ne kadar süre ile erişebileceği ve veriler üzerinde gerçekleştirebilecekleri işlemler iç prosedürler ile departmanlar bazında belirlenmiştir.
3.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. KVKK kapsamında İYİBİDER veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kaydolmayacaktır. Bunun dışında KVK Kurumu ile yürütülecek işlemleri yürütmek üzere İYİBİDER içerisinde KVKS Komisyonu atanacak olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan bu KVKS Komisyonu, sorumlu olacaktır. Karar alınmasını gerektiren durumlarda KVKS Komisyonu, Hukuk Müşavirinin / KVK Danışmanının görüşünü aldıktan sonra yönetime tavsiye niteliğindeki kararını sunacak, yönetimin onayını müteakip alınan karar uygulamaya konulacaktır.
4. POLİTİKA’NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR
4.1. İYİBİDER, Veri Sorumlusu sıfatı ile işbu Politika’nın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.
4.2. İşbu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin İYİBİDER bünyesinde uygulanmasından Hukuk müşavirliği ve iç denetim biriminin de desteği ile KVKS Komisyonu, yetkili ve sorumlu olacaktır.
4.3. İYİBİDER genelinde tüm çalışanlar, iş ortakları, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde KVKS Komisyonu, ile işbirliği yapmakla yükümlüdür.
4.4. Tüm İYİBİDER departmanları ve organları, -tüm personeli ile birlikte- Politika ’ya uygun hareket etmek ve Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.
4.5. İşbu Politika, İYİBİDER içinde tüm personel için ortak bilgi işlem sistemlerine yüklenerek her zaman erişilebilir olacaktır. Ayrıca işbu Politika İYİBİDER internet sitesinde yayınlanır. Politika’da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır. Politika’nın ilanı ve değişikliklerin ilanı süreçlerini KVKS Komisyonu yürütecektir.
4.6. Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde; İYİBİDER, Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını Kabul etmektedir. KVKS Komisyonu, bu nitelikte bir çelişki meydana gelmesi halinde Politika’nın mevzuat hükümlerine uygun biçimde güncellenmesine ilişkin süreçleri yönetmek ile yükümlüdür.
5. KİŞİSEL VERİ İŞLEME İLKELERİ
5.1. Kişisel Verilerin İşlenmesinde Genel İlkeler
İYİBİDER, KVKK’nın 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
5.1.1. Hukuka ve dürüstlük kuralına uygunluk
İYİBİDER, Veri Sorumlusu sıfatı ile Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanunun 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel very işleme faaliyetlerini yürüteceğini kabul etmektedir.
5.1.2. Doğruluk ve güncellik
İYİBİDER, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu sıfatı ile şirkete bildireceği talepler ve İYİBİDER’in bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için İYİBİDER tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
5.1.3. Belirli, açık ve meşru amaçlarla işleme
İYİBİDER tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.
5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
İYİBİDER tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.
5.1.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler İYİBİDER tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda silinmesinin sağlanması için gerekli idari ve teknik tedbirler alınacaktır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVKK’nın 5. Maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. İYİBİDER tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.
6.1. İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenmesinde ana kural ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. İYİBİDER, ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.
6.2. Kanuni Gereklilikler Nedeniyle Verilerin İşlenmesi
KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir. Bu bağlamda Dernekler Kanunu ve diğer ilgili mevzuat hükümlerinin kişisel verilerin işlenmesini öngördüğü hususlarda, mevzuat hükümleri ile öngörülen sınırlar çerçevesinde kişisel veriler İYİBİDER tarafından işlenecektir.
6.3. Fiili İmkansızlık Nedeniyle İlgili Kişinin Rızasını Açıklayamayan Veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin Veya Başkasının Hayatı Veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması
KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. İYİBİDER, anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.
6.4. Bir Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olmak Kaydı İle Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması
Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler İYİBİDER tarafından işlenecektir.
6.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması
KVKK gereği Veri Sorumlusu sıfatına haiz İYİBİDER’in mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, İYİBİDER tarafından kişisel veriler işlenecektir.
6.6. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi
İlgili kişinin kişisel verilerini alenileştirmesi halinde, İYİBİDER tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.
6.7. Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi
Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde İYİBİDER tarafından işlenecektir.
6.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz İYİBİDER’in meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak İYİBİDER’in meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
KVKK’nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler kişilerin; etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir. İYİBİDER içindeki tüm iş süreçleri ve dokümanlar incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılmıştır. İYİBİDER tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.
7.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi
KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Bu bağlamda öncelikli ilke olarak İYİBİDER tarafından özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişilerin açık rızası temin edilmeye çalışılacaktır. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. İYİBİDER, özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütecektir.
7.2. İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri İle Öngörülmesi Sebebiyle İşlenmesi
Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK hükmü doğrultusunda işlenebilecektir. Bu durumda İYİBİDER tarafından gerçekleştirilecek very işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır. ilgili mevzuat ve sözleşmelerden kaynaklanan dava, icra takibi gibi hukuki süreçlerde, ilgili hukuki sürecin esası ile ilgili ve sınırlı olmak kaydıyla özel nitelikli kişisel verilerin hukuki süreçlere sunulması, bu süreçlerde mahkemelerce resen veya taraflarca veya üçüncü şahıslar tarafından toplanan özel nitelikli kişisel verilerin hukuki süreçlerde yer alması ve hukuki süreçler için gereken süre boyunca kişisel verilerin saklanması kişisel verilerin işlenmesinin mevzuat sebebiyle işlenmesi olarak değerlendirilmektedir.
7.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler
Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Veri Koruma Kurulu tarafından belirlenecek önlemlerin alınması zorunludur. İYİBİDER, Kurul tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir. Kişisel Veri Sorumlusu Ekibi, Kurul’un belirleyeceği güvenlik önlemlerini takip etmek ve İYİBİDER içindeki iş süreçlerine Kurul’un belirlediği bu önlemleri uygulamakla yükümlüdür.
8. KİŞİSEL VERİLERİN AKTARILMASI
KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılması düzenlenmiştir. Ana kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması İYİBİDER’in sorumluluğunda olup KVKK Komisyonu tarafından bu süreçler takip ve koordine edilecektir.
8.1. Kişisel Verilerin Yurt İçinde Aktarılması
8.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması
KVKK’nın 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için ana kural ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. İYİBİDER tarafından ilgili kişinin hangi kişisel verilerinin yurt içinde üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek kişisel veriler aktarılacaktır.
8.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı
hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. Fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
8.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması açık rıza bulunmasa dahi, verilerin işlenmesinin mevzuat hükümlerinde öngörülmesi sebebiyle mümkündür. Bu durumda İYİBİDER, işbu Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, alınacak önlemler KVKS Komisyonu, tarafından takip edilerek İYİBİDER iç süreçlerine dahil edilmesi sağlanacaktır. Özel nitelikli kişisel verilerin aktarılacağı üçüncü şahısların da söz konusu önlemleri almış olması zorunludur. Aktarım süreçlerinde gerekli önlemlere ilişkin tespit ve koordinasyon, ilgili departman ile KVKS Komisyonu, gözetiminde gerçekleştirilir.
8.2. Kişisel Verilerin Yurt Dışına Aktarılması
8.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması KVKK’nın 9. maddesi gereği kişisel veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle İYİBİDER tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. İYİBİDER tarafından ilgili kişinin hangi kişisel verilerinin yurt dışında üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke
listesi dikkate alınarak kişisel veriler aktarılacaktır.
8.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı
hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve 6.8. maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. Fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak mümkündür.
KVKK’nın 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, KVKS Komisyonu, tarafından takip edilecek ve İYİBİDER iç süreçlerine dahil edilecektir. Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurulun izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika’ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması veya ilgili kişinin talebine istinaden bizzat İYİBİDER tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. İYİBİDER, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.
10. VERİ SORUMLUSU SIFATI İLE ŞİRKETİN YÜKÜMLÜLÜKLERİ
10.1. Aydınlatma Yükümlülüğü
İYİBİDER, kişisel verilerin elde edilmesi sırasında, verisi işlenen ilgili kişiyi, KVKK’nın 10. maddesi doğrultusunda aşağıdaki hususlarda aydınlatacaktır:
a. Veri sorumlusunun ve varsa temsilcisinin kimliği,
b. Kişisel verilerin hangi amaçla işleneceği,
c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
d. İlgili kişinin sahip olduğu haklar İYİBİDER’in söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri ve veri toplama kanalları gözden geçirilmiş, tespit edilen hususlar bir sınıflandırmaya tabi tutulup envantere aktarılmış, veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de gerekli düzenlemeler yapılmış, iletişim kanalları oluşturulmuştur.
10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
10.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü
Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında İYİBİDER, kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere her türlü teknik ve idari tedbiri almakla da yükümlüdür. Bu bağlamda İYİBİDER, kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş, bu sistemlerin gözetimini ve denetimini yapmak üzere ilgili personeli belirlemiş ve prosedürlerini oluşturmuştur. İYİBİDER, gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.
10.2.1.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik tedbirler
a. İYİBİDER departmanları tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmuştur. Bu yapıların işletilmesinden KVKS Komisyonu, sorumludur, gerekli koordinasyon, takip, denetim ve değerlendirmelerden ise KVKS Komisyonu, sorumludur.
10.2.2.2. Kişisel verilerin hukuka uygun işlenmesi için alınacak idari tedbirler
a. İYİBİDER, tüm personelinin KVKK ve kişisel verilerin hukuka uygun işlenmesi konusunda bilgilendirilmesi amacı ile işbu Politika ve sonrasında gerekli olacak dokümanları düzenleyerek her bir personeline ulaştıracaktır. Ayrıca ilgili uygulama içerikleri ve eğitim faaliyetlerini düzenleyecektir, eğitime katılımı belgelendirecektir.
b. İYİBİDER, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün İYİBİDER ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.
c. İYİBİDER, oluşturulacak kişisel veri envanteri kapsamında kişisel verilere erişimi, işlenme amacı doğrultusunda ve ilgili personeller ile sınırlandırmaktadır. İYİBİDER personelinin tümünün İYİBİDER’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi mümkün olmayıp, departmanlara göre düzenlenmiş olan erişim yetkileri çerçevesinde işlem yapılacaktır.
ç. İYİBİDER’in tüm faaliyetleri analiz edilerek departman özelinde kişisel veri işleme faaliyetleri belirlenmiştir. İYİBİDER, departmanların işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak personele tebliğ edilecektir, güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe girer, bağlayıcı olması için personele tebliğ edilmiş olma şartı aranmaz. Departmanların KVKK’ya uygun çalışması için yapılacak denetimler ve düzenlenecek dokümanların koordinasyonu, departman yöneticileri ile KVKS Komisyonu, ile birlikte yürütülecektir.
10.2.2. Kişisel verilere hukuka aykırı olarak erişilmesini önleme yükümlülüğü
10.2.2.1. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak teknik tedbirler
a. İYİBİDER, teknik gelişmelere uygun olarak önlemler alacak, alınan önlemleri tekniğin gelişme hızına bağlı olarak periyodik olarak güncelleyecek, yenileyecek ve sızma testleri ve sair metotlarla sistemin güvenilirliğini test ettirecektir. İYİBİDER, Kişisel Verileri Koruma Kurulu’nun teknik düzenlemeler yapması veya teknik standartlara atıf yapması durumunda bu yeni gerekliliklere uyum için gerekli tüm çalışmaları yapacaktır.
b. İYİBİDER, departman bazında belirlenecek hukuksal uyum kriterlerine uygun olarak erişim ve yetkilendirmeye yönelik teknik çözümleri devreye alacak olup bu konuda Kişisel Verileri Koruma Kurulu’nun teknik standartlar getirmesi durumunda bu teknik standartları sağlayacak yazılım ve donanım çözümlerini uygulamaya alacaktır.
c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği KVKS Komisyonu, tarafından ilgilisine ve KVKS Komisyonu’na raporlanacaktır. Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknik çözümler üretilecektir.
ç. İYİBİDER, yürüttüğü faaliyet esnasında kullanılan ve kişisel verilere erişim yetkisi bulunan tüm sistemlere virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili güvenlik yazılımlarını ve sistemlerini kuracaktır.
d. Veri güvenliği açısından teknik konularda bilgili personel istihdam edilecektir.
e. Kişisel verilere hukuka uygun olarak erişilmesi için departman bazında çıkarılacak kriterler doğrultusunda erişim yetkileri tanımlanmalı, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının erişim ve yetkileri kısıtlanmalı ve sistemlere erişebilecek cihazlar sınırlandırılmalıdır. Teknik tedbirler yönünden her departmana ilişkin ayrı ayrı prosedürler düzenleme ve denetimler gerçekleştirme süreçleri KVKS Komisyonu, KVKS Komisyonu ilgili departman yöneticileri ve Bilgi İşlem Departmanı tarafından yürütülecektir.
f. İYİBİDER kişisel verilerin muhafaza edildiği sistemlere dışarıdan sızılmasının engellenmesi için ve olası risklerin izlenmesi için gerekli yazılım ve donanımların kurulmasını sağlayacak, veri kaybının önlenmesi adına yapılacak yedeklemeler yönünden de aynı güvenlik önlemlerinin alınmasını sağlayacak, felaket planlaması kapsamında çalışılan üçüncü gerçek ve/veya tüzel kişiler ile işbu politika ile getirilen güvenlik önlemlerini ve verilerin KVKK’ya uyumlu bir şekilde saklaması için gerekli sözleşmeleri yapacaktır.
10.2.2.2. Kişisel verilere hukuka uygun olarak erişilmesi ve muhafazası için alınacak idari tedbirler
a. Tüm İYİBİDER personelinin kişisel verilere hukuka aykırı erişimi engellemek üzere alınacak teknik tedbirlere ilişkin olarak eğitilmesi sağlanmalıdır.
b. İYİBİDER, oluşturulacak kişisel veri envanteri doğrultusunda kişisel verilere erişimi, işlenme amacı doğrultusunda ilgili personeller ile sınırlandıracaktır. İYİBİDER personelinin tümünün İYİBİDER’in Veri Sorumlusu sıfatı ile işlemekte olduğu kişisel verilerin tümüne erişmesi engellenmeli, veri işleme amacı göz önünde bulundurularak erişim yetkileri düzenlenmelidir.
c. İYİBİDER, personeli ile arasındaki ilişkiyi düzenleyen her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün İYİBİDER ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemelidir.
d. İYİBİDER, kişisel verilere erişim yetkilerine dair prosedür ve gerekli tüm dokümanları hazırlayarak tüm personeline ulaştıracaktır.
e. Kişisel verilerin hukuka aykırı olarak erişilmesini ve hukuka aykırı olarak işlenmesini önlemek üzere performans göstergeleri ve hedefler belirlemiştir.
10.2.3. Kişisel verilerin korunması konusunda alınan tedbirlerin denetimi İYİBİDER, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulanmıştır. İlgili denetimin sonuçları İYİBİDER’in iç işleyişi kapsamında KVKS Komisyonu, raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir. İYİBİDER tarafından; departmanların, iş ortaklarının ve tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalıklarının artırılması ve denetimi konusunda gerekli süreçler tasarlanmış, periyodik raporlamaların ve raporlar kapsamındaki aksiyonların takibi, doğrulama testleri ve denetimleri yapılmaktadır.
İYİBİDER, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK’nın 12. maddesi uyarınca sorumludur. Bu nedenle İYİBİDER, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler alacaktır. Yine İYİBİDER tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirecektir.
11. İLGİLİ KİŞİNİN HAKLARI
KVKK’nın 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu olan İYİBİDER’e karşı aşağıdaki haklara sahiptir:
a. Kişisel verilerin işlenip işlenmediğini öğrenmek ve kişisel verileri işlenmiş ise buna ilişkin bilgi talep etmek,
b. İşleme amacını ve amaca uygun kullanıp kullanılmadığını öğrenmek,
c. Kişisel verilerin aktarıldığı kişileri bilmek,
ç. Eksik veya yanlış işleme halinde düzeltme istemek ve şartları gerçekleşmişse kişisel verilerin silinmesini istemek ve bu taleplerinin üçüncü kişilere iletilmesini istemek,
d. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
e. Kanuna aykırı işleme sebebiyle zarara uğraması halinde zararını talep etmek.
Kişisel veri sahiplerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle İYİBİDER’e iletmesi durumunda, KVKK’nın 13.maddesi uyarınca İYİBİDER talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Talebin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun İYİBİDER’in hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilecektir.
İYİBİDER tarafından ilgili başvuru sonuçlandırılırken, kişinin anlayabileceği bir dil ve formatta bilgi vermeli ve ilgili kişiye bu bilginin yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır. İYİBİDER, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği İYİBİDER tarafından gecikmeksizin yerine getirilir. İlgili kişinin, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda İYİBİDER gerekli uyarıları yapar.
12. YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika, İYİBİDER Yönetimi tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konması hususunda gerekli çalışmalar KVKS Komisyonu, tarafından yapılacak ve değişiklikler İYİBİDER Genel Sekreteri’nin onayı ile yürürlüğe girecektir.
Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda İYİBİDER bu Politika’yı gözden geçirme ve gerekli durumlarda politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir politika oluşturma hakkını saklı tutar. Politika’nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi İYİBİDER Yönetim Kurulu’na aittir.
İYİBİDER – İyilikte Yardımlaşma, İrfanla Birleşme Derneği
KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI
1. AMAÇ
İYİBİDER Kişisel Veri Saklama ve İmha Politikası’nın amacı, İnsani Yardımlaşma İrfanda Birleşme Derneği (İYİBİDER)’in mevcut ve potansiyel müşterileri, tüketicileri, iş ortakları, ziyaretçileri, dernek çalışanları, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası standartlarının Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu 30224 sayı ve 28.10.2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara göre belirlenmesidir.
2. KAPSAM
Politika’daki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan her türlü bilgi ve belgeyi ve bunlarla ilgili alınan silinmesi, yok edilmesi veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını kapsar.
3. İYİBİDER KAYIT ORTAMLARI
İYİBİDER, Kişisel Verileri fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına alınmaktadır.
4. HUKUKİ VE TEKNİK TERİMLER
Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları.
İlgili Kişi Grubu: Kişisel Verileri işlenen kişi türü (çalışan, müşteri, ziyaretçi vb)
İlgili Kişi: Kişisel verileri işlenen veri sahibi gerçek kişi, Kişisel Veri Öznesi
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
KV: Kişisel Veri
KV Envanteri: Kurumda işlenen (tutulan) Kişisel Verileri ve ilişkili bilgilerin tasnif edildiği liste
KVK: Kişisel Veri Koruma
KVK ihlali: İlgili kişilerin mağduriyeti olsun veya olmasın, İYİBİDER’in veri Sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, İYİBİDER’in Kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya İYİBİDER Prosedürlerine aykırı hususlar.
KVİS: Kişisel Veri İşleme Sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; bu iş görme borcu karşılığında veri sorumlusunun bedel ödemeyi üstlendiği sözleşme
KVKK: Kişisel Verilerin Korunması Kanunu
KVKS: Kişisel Verilerin Korunması Sistemi
ÖNKV: Özel Nitelikli Kişisel Veri
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Veri işleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre veri işleyen; “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel Veriyi işleyen Kurum (İYİBİDER)
5. KİŞİSEL VERİLERİN İMHASI
Kişisel Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. İYİBİDER, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
a. Kişisel Verilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin İlgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
İYİBİDER, kişisel verileri sildiği durumlarda, ilgili kullanıcılar için verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir.
b. Kişisel Verilerin Yok Edilmesi
Yok etme işlemi, İYİBİDER’in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılabilecektir.
İYİBİDER, bu durumda ilgili kişisel verilerin hiç kimse için erişilememesini, tekrar kullanılamamasını ve geri getirilememesini sağlayacaktır. Yok etme işlemleri sırasında İYİBİDER çalışanları ve ilgili departmanlar KVKK Komisyonu yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında İYİBİDER, KVKS Komisyonu’na gerekli her türlü teknik ve idari tedbiri alacaktır.
c. Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, İYİBİDER’in kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmesi KVKS Komisyonu’nun görevidir. KVKS Komisyonu gerekli durumlarda veri sahibi ilgili birimden destek alabilir fakat her hâlükârda ilgili birimi bilgilendirme yükümlülüğü vardır. Kişisel verilerin anonim hale getirilmesi sırasında İYİBİDER, işbu Politika kapsamında belirtilen yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKS Komisyonu’na danışılmaktadır.
6. UYUM
6.1. Kişisel Veri İşleme Envanteri
İYİBİDER, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve detaylandırmıştır. İYİBİDER, Politika içerisindeki prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.
6.2. Azami Saklama Süreleri ve Kişisel Veri Saklama Süre Tablosu
İYİBİDER, bu tablo içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. İYİBİDER, Politika içerisindeki prensipleri dâhilinde bu tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder. İYİBİDER, tabloda yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler.
a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla İYİBİDER’in dahil olduğu tüm faaliyet alanlarında genel teamül olarak ne kadar süre gerekli olduğu,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak İYİBİDER’in elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken ne kadar süre devam edeceği,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,
e) İYİBİDER’in hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,
f) İYİBİDER’in ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu, dikkate alınır.
İYİBİDER, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Kişisel Veri İşleme Envanterinde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin mevcut olması durumunda veya İYİBİDER tarafından öğrenilmesi üzerine, azami sürelere bakılmaksızın kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvuru üzerine veya İYİBİDER tarafından söz konusu kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e) İlgili kişinin, kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
f) İYİBİDER’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
ğ) Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
6.3. Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler
İYİBİDER, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi, kişisel verilerinin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirleri almakta yükümlü olmakla birlikte bu tedbirleri ilgili kişilere duyurmak ve uygulanmasını sağlamakla yükümlüdür. Alınan teknik ve idari tedbirler;
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Erişim bilgi güvenliği kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kâğıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güncel şifreleme /kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
6.4. Periyodik İmha
İYİBİDER, Kişisel Veri Saklama Süre Tablosu ve Kişisel Veri İşleme Envanterine paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak altı (6) ayda bir kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.
7. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER
İYİBİDER aşağıdaki ihtiyaçlarını temin için kişisel verileri kanuna uygun olarak işlemektedir;
Ana iştigal alanı olan eğitim ve yardım faaliyetlerinin yürütülmesi
Acil durum yönetimi süreçlerinin yürütülmesi
Bilgi güvenliği süreçlerinin yürütülmesi
Çalışan adayı / Stajyer/ Öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi
Çalışan adayların başvuru süreçlerinin yürütülmesi
Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi
Çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi
Çalışanlar için yeni haklar ve menfaatleri süreçlerinin yürütülmesi
Denetim / Etik faaliyetlerin yürütülmesi
Eğitim faaliyetlerinin yürütülmesi
Erişim yetkilerinin yürütülmesi
Faaliyetlerin mevzuata uygun yürütülmesi
Finans ve muhasebe işlerinin yürütülmesi
Fiziksel mekân güvenliği temini
Görevlendirme süreçlerinin yürütülmesi
Hukuk işlerinin takibi ve yürütülmesi
İç denetim, soruşturma, istihbarat faaliyetlerinin yürütülmesi
İletişim faaliyetlerinin yürütülmesi
Mal, hizmet, üretim ve operasyon süreçlerinin yürütülmesi
Organizasyon ve etkinlik yönetimi
Performans değerlendirme süreçlerinin yürütülmesi.
Risk yönetimi süreçlerinin yürütülmesi
Saklama ve arşiv faaliyetlerinin yürütülmesi
Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi
Sözleşme süreçlerinin yürütülmesi
Talep ve şikayetlerin takibi
Taşınır mal ve kaynakların güvenliğinin temini.
Tedarik zinciri yönetim süreçlerinin yürütülmesi
Ücret politikasının yürütülmesi
Veri sorumlusu operasyonlarının güvenliğinin temini
Yabancı personel çalışma ve oturma izni işlemleri
Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
Yönetim faaliyetlerinin yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi
8. KV İMHA ORGANİZASYONU (UNVANLAR, BİRİMLER VE GÖREV TANIMLARI)
KV imha süreçlerinin yönetimi KVKS Komisyonu’ndadır. KVKS Komisyonu ve diğer tüm organizasyonu belirleyen müstakil bir prosedür bulunmaktadır. Genel organizasyonda, özellikle de veri imha konusunda rol ve sorumluluklar prosedürler ile belirlenmektedir.
9. SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO
Saklama süreleri KV envanteri ile belirlenmiştir.
10. POLİTİKA REVİZYONLARI
Bu Politika’nın revizyonları bağlı bulunan KVKS-P-02_KİŞİSEL_VERİ_İMHA_PROSEDÜRÜ ile yönetilmekte ve kurum sistemlerinde canlı tutulmaktadır.
iyilikle, her şey yerli yerinde...